此木马是一个DLL,应该还有一个加载程序
1.病毒运行后,会调用CreateMutex建立一个名为UAM_4803互斥量,这样就保证系统中只有病毒的一个实例在运行
2.通过调用SeDebugPrivilege等函数提升权限
3.遍历进程对找到的第一个”svchost”进程,将自己将注入其内存,然后通过CreateRemoteThread启动其导出函数”Entry”。
注入执行部分:
1.通过尝试创建名为"UAM_4803"的互斥量来检查驱动是否加载,如加载则不做其它操作。
如果未加载则,注册服务,实现自启动驱动,并立即启动该服务
2.启动工作线程,连接远程服务器,接受命令,执行, 实现远程监控功能。
3.支持以下命令
cmd命令
结束指定进程
根据网址,下载文件(执行)
打开指定网址
设置主页
浏览目录
获得文件详细信息
同服务器进行上传和下载文件
打开,删除文件
创建,删除目录
清除日志
桌面截图
图片可能看的不清晰
附上IDB,里面部分已经注解
求精华。。求声望。。
本人决定从现在开始每周最少申精2篇。。。
- 标 题:Backdoor.Win32.UAManager.b
- 作 者:雪之苏
- 时 间:2011-03-24 17:57:50
- 链 接:http://bbs.pediy.com/showthread.php?t=131305